La seguridad en sistemas de información es hoy en día una tarea más que se debe planificar antes de hacer una implementación. En el caso de las implementaciones de voz sobre IP, no hay excepciones, es importante conocer la herramienta y las funcionalidades que permitan hacer una instalación adecuada priorizando la seguridad.
El 4 de diciembre de 2019, presentamos un webinar sobre seguridad, tomando como base una distribución basada en Asterisk.
Durante el webinar, mostramos 4 servicios:
- Logwatch
- Kippo SSH
- GeoIP en iptables.
- TPOT Honeypot
En este artículo incluiremos un breve manual de cómo configurarlos, y les recomendamos ver la grabación del webinar para hacer una mejor relación con cada uno de ellos.
Logwatch: Logwatch es un servicio de monitorización y detección de intrusiones basado en el análisis de los archivos de registro de eventos (logs) del sistema que suelen estar localizados en /var/log/.
Con una frecuencia determinada (se suele ejecutar cada noche) analiza los logs del sistema y realiza un reporte que es enviado de inmediato al administrador vía correo electrónico.
Para instalarlo en Centos basta con introducir en la consola y como root el siguiente comando:
yum install logwatch
Si además quieren agregar la posibilidad de que monitoree Asterisk, pueden descargar el archivo desde el siguiente enlace → logwatch.tar.gz
Descomprimir el archivo en /usr/share/logwatch y sobreescribir todo lo que se pregunte. Escribir este comando: Ej: si lo descargaron en /home/usuario, ir a ese directorio y escribir lo siguiente: tar -xvzf logwatch.tar.gz -C /usr/share
Para que logwatch funcione, se debe poder enviar mails desde el servidor. Si están utilizando FreePBX, la siguiente es una buena guía → Email Setup en FreePBX
El comando para enviar el correo es el siguiente:
logwatch –detail 5 –output mail –mailto [email protected] –format html –range today
El range puede ser today o yesterday.
Si además quieren que lo envíe automáticamente, es necesario crear un cronjob y agregar ese comando.
(Tutorial de cronjob, por si no están familiarizados)
Kippo SSH: Kippo SSH es un honeypot de media interacción que simula un servidor SSH con clave “123456” e interactúa con el atacante, dejando registro de todo lo que haga (claves utilizadas, archivos descargados, comandos introducidos, etc)
Pueden encontrar el tutorial de Kippo + Kippo Graph aquí: Tutorial Kippo.
GeoIP en iptables: GeoIP en iptables sirve para poder dar permiso o prohibir acceso a paises enteros. Ejemplo de uso, si quiero excluir todos los paises excepto Argentina, introduzco:
iptables -I INPUT -m geoip ! –src-cc AR -j REJECT
(Tutorial de instalación aquí)
TPOT Honeypot: Tpot Honeypot es una suite de honeypots listos para ser utilizados.
El siguiente enlace permite descargar una iso de tpot: github.com/dtag-dev-sec/tpotce
En la misma URL hay un tutorial sobre cómo instalarlo y configurarlo.